在網路安全中,edr是指“端點偵測與回應”,是一種主動式端點安全解決方案,包括即時監控和使用自動威脅回應機制收集端點安全資料;透過記錄終端與網路事件,將這些資訊本地化儲存在端點或集中在資料庫。 EDR會集合已知的攻擊指示器、行為分析的資料庫來連續搜尋資料和機器學習技術來監測任何可能的安全威脅,並對這些安全威脅做出快速回應。
本教學操作環境:windows7系統、Dell G3電腦。
端點偵測與回應(Endpoint Detection & Response,EDR)是一種主動式端點安全解決方案,透過記錄終端與網路事件,將這些資訊在地化儲存在端點或集中在資料庫。 EDR 會集合已知的攻擊指示器、行為分析的資料庫來連續搜尋資料和機器學習技術來監測任何可能的安全威脅,並對這些安全威脅做出快速回應。也有助於快速調查攻擊範圍,並提供回應能力。
能力
預測:risk assessment(風險評估);anticipate threats(預測威脅);baseline security posture (基線安全態勢)。
防護:harden systems(強化系統);isolate system(隔離系統);prevent attacks(防止攻擊)。
偵測:detect incidents(偵測事件);confirm and prioritize risk(確認風險並決定優先順序)。 contain incidents(包含事件)。
回應:remediate(補救);design policy change(設計規則變更);investigate incidents(調查事件)。
安全模型
#比相比傳端點安全防護採用預設安全策略的靜態防禦技術,EDR加強了威脅偵測和回應取證能力,能夠快速偵測、識別、監控和處理端點事件,從而在威脅尚未造成危害前進行偵測和阻止,幫助受保護網路免受零日威脅和各種新出現的威脅。安全模型如圖所示:
1、資產發現
會定期透過主動掃描、被動發現、手動輸入和手動檢查等多種方法收集目前網路中所有軟體硬體資產,包括全網所有的端點資產和在用的軟體名稱、版本,確保整個網路中沒有安全盲點。
2、系統加固
需要定期進行漏洞掃描,打補丁、對安全策略進行更新和進一步細化,透過白名單現在未授權的軟體進行運行,透過防火牆限制為授權就開啟伺服器連接埠和服務,最好能定期檢查和修改清理內部人員的帳號和密碼還有授權資訊。
3、威脅偵測
透過端點本地的主機入侵偵測進行異常行為分析,針對各類安全威脅,在其發生之前、發生中、和發生後作出相應的防護和檢測行為。
4、回應取證
針對全網的安全威脅進行視覺化展示,對威脅自動化地進行隔離、修復和搶救,降低事件回應和取證的門檻,這樣就不需要依賴於外部專家就可以完成緊急應變和取證分析。
功能
#調查安全事件;
將端點修正為預感染狀態;
偵測安全事件;
#包含終端事件;
工作原理
一旦安裝了EDR 技術,馬上EDR 就會使用先進的演算法分析系統上單一使用者的行為,並記住並連接他們的活動。
感知系統中的某個或特定使用者的異常行為,資料會被過濾,防止惡意行為的跡象,這些跡象會觸發警報然後我們就去確定攻擊的真假。
如果偵測到惡意活動,演算法將追蹤攻擊路徑並將其建構回入口點。 (關聯追蹤)
然後,該技術將所有資料點合併到稱為惡意操作 (MalOps) 的窄類別中,使分析人員更容易查看。
在發生真正的攻擊事件時,客戶會得到通知,並得到可採取行動的回應步驟和建議,以便進行進一步調查和進階取證。如果是誤報,則警報關閉,只增加調查記錄,不會通知客戶
體系框架
EDR 的核心在於:一方面,利用現有的黑名單和基於病毒特徵的端點靜態防禦技術來阻止已知威脅。另一方面,透過雲端威脅情報、機器學習、異常行為分析、攻擊指示燈等方式,主動發現來自外部或內部的各類安全威脅。同時,基於端點的背景資料、惡意軟體行為以及整體的高階威脅的生命週期的角度進行全面的偵測和回應,並進行自動化阻止、取證、補救和溯源,從而有效地對端點進行安全防護。
EDR 包括:端點、端點偵測與回應中心、視覺化展現三個部分,體系框架如圖所示:
##端點:在EDR 中,端點只具備信息上報、安全加固、行為監控、活動文件監控、快速響應和安全取證等基本功能,負責向端點檢測與響應中心上報端點的運行信息,同時執行下發的安全策略和回應、取證指示等。
端點偵測與回應中心:由資產發現、安全加固、威脅偵測、回應取證等中心組成。
視覺化:展現針對各類端點安全威脅提供即時的視覺性、可控制性,降低發現與處置安全威脅的複雜度,輔助使用者更快速、聰明地應對安全威脅。
偵測威脅類型
#要素類型和收集類型
主要技術
#智慧沙箱技術
針對可疑程式碼進行動態行為分析的關鍵技術,透過模擬各類虛擬資源,創建嚴格受控和高度隔離的程式運行環境,運行並提取可疑程式碼運行過程中的行為信息,實現對未知惡意程式碼的快速識別。
機器學習技術
是一門多學科交叉知識,也是人工智慧領域的核心,專門研究電腦如何模擬實現人類的學習行為,透過獲得新的技能知識重組現有的知識體系,並持續完善自身表現。在大規模數掘處理中,可以自動分析獲得規律,然後利用這些規律預測未知的資料。
數位鑑識技術
數位鑑識是指對具有足夠可靠且有說服力的,存在於電腦、網路、電子設備等數位設備中的數位證據,進行確認、保護、提取和歸檔的過程。在EDR 中,數位取證要克服雲端運算環境取證、智慧終端取證、大數據取證等關鍵技術,自動定位和採集端點人侵電子證據,降低取證分析的技術門檻,提高取證效率及其分析結果的準確性,為端點安全事件調查、打擊網路犯罪提供技術支援。EDR 優缺點
#優點
EDR 完整覆蓋端點安全防禦全生命週期。對於各類安全威脅事件,EDR 在其發生前、發生中、發生後均能夠進行相應的安全偵測與回應動作。安全事件發生前,即時主動擷取端安全資料及針對性地進行安全加固;安全事件發生時,透過異常行為偵測、智慧沙箱分析等各類安全引擎,主動發現及阻止安全威脅;安全事件發生後,透過端點資料追蹤溯源。
EDR 能夠相容於各類網路架構。 EDR 能夠廣泛適應傳統電腦網路、雲端運算、邊緣運算等各類網路架構,能夠適用於各種類型的端點,且不受網路和資料加密的影響。
EDR 輔助管理員智慧化應對安全威脅。 EDR 對安全威脅的發現、隔離、修復、補救、調查、分析和取證等一系列工作均可自動化完成,大大降低了發現和處置安全威脅的複雜度,能夠輔助用戶更加快速、智能地應對安全威脅。
缺點
#EDR 的限制在於並不能完全取代現有的端點安全防禦技巧。 EDR 與防毒、主機防火牆、主機入侵偵測、修補程式加強、週邊管控、軟體白名單等傳統端點安全防禦技術屬於互補關係,並非取代關係。
技術前提
#要使用或更好的理解EDR 就需要對一些知識有了解,這樣才能更好的使用和理解EDR 的原理和使用方法。
熟悉Linux 環境,python 或shell,Java;
熟悉hadoop,spark 等大數據元件;
#熟悉資料探勘與分析(例如進行風險等級劃分),資料統計技術(例如一些置信度的計算),機器學習技術(分類檢測等),深度學習技術,大數據分析技術(主要是關聯分析),漏斗分析法等。
熟悉 mysql 或 nosql 資料庫,集中儲存的資料庫,分散式儲存的資料庫。
更多相關知識,請造訪常見問題欄位!
以上是網路安全中edr是什麼意思的詳細內容。更多資訊請關注PHP中文網其他相關文章!
